Gestin de Riesgos

Mario Urea Cuate, CISA, CISM, CGEIT, CISSP

Auditor Lder BS25999, ISO27001
mario.urena@secureit.com.mx
www.mariourenacuate.com
Pag.1

www.isaca.org

Agenda

Introduccin
Gestin de riesgos
Marcos de referencia para la gestin de riesgos
Principios de la gestin de riesgos
ISO 31000 Gestin de Riesgos Principios y guas (DRAFT)
BS 31100 Gestin de Riesgos Cdigo de prctica
ISO 27005 Gestin de Riesgos de Seguridad de la Informacin
Risk IT Framework
Ejemplos
Opciones de tratamiento de riesgos
Conclusiones

Pag.2

www.isaca.org

Introduccin

Pag.3

www.isaca.org

Introduccin
En la actualidad, son cada vez ms las organizaciones
que dedican recursos de personal, tiempo y dinero para
la gestin de riesgos de TI, pero con tantos modelos,
metodologas y tcnicas disponibles:

Por dnde empezar?

Cul de ellas es mejor?
Debo utilizar un enfoque cualitativo o cuantitativo?
Quin lo debe ejecutar?
Con qu granularidad?
Cmo tratar el riesgo?
Pag.4

www.isaca.org

Introduccin
Cules son los riesgos de los cuales me tengo que
proteger?
Cul es el nivel de riesgo que debo tomar para
maximizar mis ganancias?
Eso es un riesgo o es una amenaza?
El control lo aplico a la vulnerabilidad, a la amenaza
o a los dos?
Pag.5

www.isaca.org

Introduccin
Diferentes tipos de riesgos:

Riesgo de TI
Riesgo de Seguridad de la Informacin
Riesgo Operativo
Riesgo de Continuidad del Negocio
Riesgo de Proyecto
Riesgo Financiero
Riesgo de Auditora
Etc.

Pag.6

www.isaca.org

Introduccin
Nivel de granularidad:
Empresa A: Total de escenarios de riesgos: 50
Empresa B: Total de escenarios de riesgos: >5,000,000

Pag.7

www.isaca.org

Introduccin
Hay de escenarios a ESCENARIOS:
escenario:

Epidemia de influenza - Abril 2009

Pag.8

www.isaca.org

Introduccin
Hay de escenarios a ESCENARIOS:
ESCENARIO:

Epidemia de influenza + Sismo 5.7 grados 27 de abril 2009

Pag.9

www.isaca.org

Introduccin
Posible Contagio
Escenario:
Sismo

Estrategia:

Escenario:
Epidemia

Parte del personal

laborando
en oficinas

Desalojo y
concentracin en
puntos de reunin

Estrategia:
Parte del personal
laborando desde casa
comunicndose
va Internet
y telfono

Pag.10

www.isaca.org

Estrategia:

Escenario:
Perdida de
comunicaciones
Escenario:
Saturacin de lneas
telefnicas

Interrupcin de la
continuidad del
negocio

10

10

Introduccin
El caso de mi amigo.

Proveedor de servicios de hospedaje y respaldo.

Pag.11

www.isaca.org

11

11

Introduccin

ESCENARIO-TOTE (Por ponerle un nombre)

Hackeo de pgina web + Prdida de respaldos+

Epidemia de Influenza + Sismo 5.7 grados +
Prdida de comunicaciones + Fallas de Energa = ?

Pag.12

www.isaca.org

12

12

Introduccin

Solamente mir hacia

el cielo, esperando ver
pasar a los cuatro
jinetes...
Mi amigo
Abril 27, 2009

Pag.13

www.isaca.org

13

13

Introduccin
Cmo evitar que ocurran eventos no
deseados?
Y en caso de que ocurran
Cmo disminuir su impacto en la
organizacin?
Pag.14

www.isaca.org

14

14

Gestin de riesgos

Pag.15

www.isaca.org

15

15

Marcos de referencia

ISO/DIS 31000 (DRAFT)

IEC/DIS 31010
ISO/D Guide 73
BS 31100
ISO/IEC 27005
ITGI - The Risk IT Framework
Basilea II
OCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R

CRAMM
MAGERIT
TRA Working Guide
Microsoft SRMG
BS 7799-3
AIRMIC, ALARM, IRM
ARMS
UNE 71504

Pag.16

www.isaca.org

16

16

Marcos de referencia

ISO/DIS 31000 (DRAFT)

IEC/DIS 31010
ISO/D Guide 73
BS 31100
ISO/IEC 27005
ITGI - The Risk IT Framework
Basilea II
OCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R

CRAMM
MAGERIT
TRA Working Guide
Microsoft SRMG
BS 7799-3
AIRMIC, ALARM, IRM
ARMS
UNE 71504

Pag.17

www.isaca.org

17

17

ISACA - Guas relacionadas

COBIT 4.1 Process PO9
Assurance Guide
Control Objectives for Basel II
IT Governance Series IT Risk Management
Security Baseline
Control Objectives for Sarbanes Oxley

Pag.18

www.isaca.org

18

18

Principios de la gestin de riesgos

ISO/DIS 31000. La gestin de riesgos:
a) crea valor
b) es una parte integral de los procesos de la organizacin
c) forma parte de la toma de decisiones
d) explcitamente atiende la incertidumbre
e) es sistemtica, estructurada y oportuna
f) est basada en la mejor informacin disponible
g) est adaptada a la organizacin
h) toma en cuenta factores humanos y culturales
i) es transparente e inclusiva
j) es dinmica, iterativa y responde al cambio
k) facilita la mejora continua
Pag.19

www.isaca.org

19

19

Principios de la gestin de riesgos

BS 31100. La gestin de riesgos:
i) debe ser adaptada a la organizacin
ii) debe tomar en cuenta la cultura organizacional, factores humanos
y comportamiento
iii) debe ser sistemtica y estructurada
iv) debe operar en un lenguaje comn
v) debe basarse en la mejor informacin disponible
vi) debe atender explcitamente la incertidumbre
vii) debe ser parte de la toma de decisiones
viii) debe proteger todo lo que sea valioso
ix) debe ser transparente e inclusiva
x) debe ser dinmica, iterativa y responder a cambios
xi) debe considerar la revisin en la aplicacin de los principios
Pag.20

www.isaca.org

20

20

Principios de la gestin de riesgos

Risk IT. La gestin de riesgos de TI:
siempre est conectada a los objetivos del negocio
alinea la gestin de riesgos del negocio relacionados con TI con la
gestin de riesgos de toda la organizacin
balancea los costos y beneficios de gestionar riesgos
promueve una comunicacin de riesgos de TI justa y abierta
establece el tono adecuado desde arriba, mientras define y refuerza
la responsabilidad personal para operar con niveles de tolerancia
aceptables y bien definidos
es un proceso continuo y forma parte de las actividades diarias

Pag.21

www.isaca.org

21

21

ISO DIS / 31000

Propsito:
Proveer los principios y guas generales para la
implementacin de la gestin de riesgos.
No es utilizado con propsitos de certificacin.

Pag.22

www.isaca.org

22

22

ISO DIS / 31000

Es genrico y no es especfico de alguna industria o sector.
An cuando el estndar provee guas generales no es su intencin
imponer uniformidad en las organizaciones, respecto a la gestin de
riesgos.
El diseo e implementacin de la gestin de riesgos depende de las
necesidades especficas de la organizacin, objetivos particulares,
contexto, estructura, productos, servicios, proyectos, procesos
operativos y prcticas especficas empleadas.

Pag.23

www.isaca.org

23

23

ISO DIS / 31000

ste estndar intenta armonizar los procesos de gestin de riesgos
en estndares existentes y futuros.
Provee un enfoque comn soportando estndares orientados a
riesgos o sectores especficos.
El ISO 31000 no pretende reemplazar los estndares ya existentes.

Pag.24

www.isaca.org

24

24

ISO DIS / 31000

Componentes

Compromiso de la
gerencia

Diseo del marco de

referencia

Implementar la
gestin de riesgos

Mejora continua

Monitorear y revisar
Pag.25

www.isaca.org

25

25

ISO DIS / 31000

Componentes

Compromiso de la
gerencia

Diseo del marco de referencia

- Entender a la organizacin y su contexto
- Poltica de gestin de riesgos
- Integracin dentro de los procesos de la organizacin
- Responsabilidad
- Recursos
- Establecer mecanismos de comunicacin y reporte interno
- Establecer mecanismos de comunicacin y reporte externo

Implementar la gestin de riesgos

Mejora continua

- Implementar el marco de referencia

- Implementar el proceso de gestin de riesgos

Monitorear y revisar
Pag.26

www.isaca.org

26

26

ISO DIS / 31000

Inicio

Proceso

Establecer el contexto

Anlisis de riesgos

Evaluacin de riesgos

Monitoreo y revisin

Comunicacin y consulta

Identificacin riesgos

Tratamiento de riesgos

Pag.27

www.isaca.org

27

27

BS 31100
Publicado en Octubre 2008.
Propsito:
Provee las bases para el entendimiento, desarrollo,
implementacin y mantenimiento de la gestin de
riesgos.

Pag.28

www.isaca.org

28

28

BS 31100
Ha sido preparado para ser consistente con el ISO
31000 y tambin considera los siguientes documentos:

HM Treasurys Orange Book

OGC - M_o_R: Guidance for Practitioners
COSO Enterprise Risk Management Integrated Framework
IRM/AIRMIC/ALARM - Risk Management Standard

Pag.29

www.isaca.org

29

29

BS 31100
Componentes
Mandato y
compromiso

Diseo del
marco de
referencia

Mantenimiento
y mejora

Implementar la
gestin de
riesgos

Monitorear y
revisar

Pag.30

www.isaca.org

30

30

BS 31100
Proceso

Pag.31

www.isaca.org

31

31

ISO 27005
Publicado en Junio 2008.
Propsito:
Provee guas para la gestin de riesgos de seguridad de la
informacin.
Soporta los principales conceptos especificados en ISO/IEC 27001
y ha sido diseado para asistir en la implementacin satisfactoria de
seguridad de la informacin basada en un enfoque de gestin de
riesgos.

Pag.32

www.isaca.org

32

32

ISO 27005
Para un entendimiento completo de ste estndar, se
requiere el conocimiento de los conceptos, modelos,
procesos y terminologas descritas en ISO/IEC 27001.
Aplica a todo tipo de organizacin que intente gestionar
riesgos que pudieran comprometer la seguridad de la
informacin de la organizacin.

Pag.33

www.isaca.org

33

33

ISO 27005

ISO 31000

Integracin de ISO 27005 con otros estndares

ISO
27005
ISO
27001
Otros
estndares y
prcticas de
gestin de
riesgos

Pag.34

www.isaca.org

34

34

Inicio

www.isaca.org
Pag.35

Evitar

Retener

Reducir

Aceptacin de riesgos

Transf.

Tratamiento de riesgos

Evaluacin de riesgos

Estimacin de riesgos

Identificacin riesgos

Proceso

Establecer el contexto

ISO 27005

Consecuencias
Controles
Vulnerabilidades
Activos Amenazas

Comunicacin de riesgos

Monitoreo y revisin de riesgos

35
35

The Risk IT Framework

Desarrollado por el IT
Governance Institute
Iniciativa de Risk IT
Complementa a COBIT y
Val IT

Pag.36

www.isaca.org

36

36

The Risk IT Framework

Propsito:
El marco de referencia de Risk IT explica el riesgo de
TI y permitir a los usuarios:
Integrar la gestin de riesgos de TI con la gestin de riesgos
empresarial.
Tomar decisiones bien informadas respecto a la extensin del
riesgo, el apetito de riesgo y la tolerancia al riesgo de la
organizacin.
Entender como responder al riesgo

Pag.37

www.isaca.org

37

37

The Risk IT Framework

Definicin de riesgo de TI:
El riesgo de TI es riesgo del negocio especficamente,
el riesgo del negocio asociado con el uso, propiedad,
operacin, involucramiento, influencia y adopcin de TI
en la organizacin. Consiste de eventos relacionados
con TI que potencialmente podran impactar al negocio.
Incluye frecuencia y magnitud, y crea retos para el
cumplimiento de metas y objetivos estratgicos, as
como incertidumbre en la bsqueda de oportunidades.

Pag.38

www.isaca.org

38

38

The Risk IT Framework

El riesgo de TI puede categorizarse en:
Riesgo en la entrega de servicios de TI, asociado con el
desempeo y disponibilidad de servicios de TI, y que puede
provocar la destruccin o reduccin del valor para la organizacin.
Riesgo en la entrega de soluciones de TI / realizacin de beneficios,
asociado con la contribucin de TI a soluciones del negocio nuevas
o mejoradas usualmente en la forma de proyectos y programas.
Riesgo de realizacin de beneficios de TI, asociado con la perdida
de oportunidades para usar la tecnologa en la mejora de la
eficiencia o efectividad de los procesos del negocio.
Pag.39

www.isaca.org

39

39

The Risk IT Framework

Valor del negocio
No Ganar

Ganar

Perder

Preservar

Habilitar beneficios / valor de TI

Entrega de programas y
proyectos de TI
Entrega de operaciones y
servicios de TI

Valor del negocio

Pag.40

www.isaca.org

40

40

The Risk IT Framework

Componentes

Pag.41

www.isaca.org

41

41

The Risk IT Framework

Escenarios / Componentes

Pag.42

www.isaca.org

42

42

The Risk IT Framework

Impacto al negocio

4A (Westerman / Hunter)
Agility - Agilidad
Accuracy - Precisin
Access - Acceso
Availability - Disponibilidad
Pag.43

www.isaca.org

43

43

The Risk IT Framework

Impacto al negocio

COBIT Criterios de informacin

Efectividad
Eficiencia
Confiabilidad
Integridad
Confidencialidad
Disponibilidad
Cumplimiento
Pag.44

www.isaca.org

44

44

The Risk IT Framework

Impacto al negocio

BSC (COBIT Objetivos del negocio)

Perspectiva Financiera
Perspectiva del Cliente
Perspectiva Interna
Perspectiva de Aprendizaje y Crecimiento

Pag.45

www.isaca.org

45

45

The Risk IT Framework

Impacto al negocio
BSC (Criterios de impacto extendidos)
Valor de acciones
Cuota de mercado
Ingresos / Ganancias
Costo de capital
Satisfaccin del cliente
Impacto regulatorio
Recursos
Ventaja competitiva
Reputacin

Pag.46

www.isaca.org

46

46

The Risk IT Framework

Pag.47

www.isaca.org

47

47

The Risk IT Framework

Pag.48

www.isaca.org

48

48

The Risk IT Framework

COBIT + Val IT + Risk IT

Pag.49

www.isaca.org

49

49

Ejemplos

Pag.50

www.isaca.org

50

50

Ejemplo 1 - Identificacin
IDENTIFICADOR

RIESGO

Uso no autorizado de equipos

Falla en equipos de telecomunicacin

Fallas de energa elctrica

Saturacin de Sistemas de Informacin

Infeccin por virus informtico

Riesgo N

Pag.51

www.isaca.org

51

51

Ejemplo 1 - Identificacin
1. Fuego
2. Dao por agua
3. Contaminacin
4. Accidentes graves
5. Destruccin de equipo o medios
6. Terremoto /sismo /temblor
7. Deslave
8. Derrame qumico
9. Explosin
10. Incendio
11. Epidemia
12. Lluvias intensas
13. Tormenta de Granizo
14. Cicln tropical
15. Inundacin
16. Tormenta elctrica
17. Fallas en aire acondicionado
18. Fallas en provisin de agua
19. Fallas en equipos de
telecomunicacin
20. Fallas de energa elctrica
21. Intercepcin de informacin
22. Espionaje remoto
23. Espionaje
24. Robo de documentos
25. Robo de medios de informacin

26. Robo de equipo

27. Recuperacin de medios reciclados
28. Divulgacin de informacin
29. Recepcin de datos de fuentes no
confiables
30. Manipulacin no autorizada de
informacin
31. Deteccin de ubicacin fsica
32. Falla de equipos
33. Malfuncionamiento de equipos
34. Saturacin de sistemas de
informacin
35. Malfuncionamiento de software
36. Uso no autorizado de equipo
37. Copia fraudulenta de software
38. Uso de software fraudulento
39. Corrupcin de datos
40. Procesamiento ilegal de datos
41. Errores humanos
42. Abuso de privilegios
43. Denegacin de acciones
44. Repudio de transacciones
45. Indisponibilidad del personal
46. Secuestro de funcionarios
47. Chantaje
48. Terrorismo
Pag.52

www.isaca.org

49. Amenaza de bomba

50. Bloqueo de instalaciones por
manifestaciones pblicas
51. Huelga
52. Impacto de aeronave
53. Acciones de empleados
descontentos contra la organizacin
54. Infecciones por virus informtico y
cdigo malicioso
55. Sabotaje
56. Hackers y otros agresores externos
57. Desconocimiento del usuario
58. Agresores internos
59. Phishing / Engaos intencionales
60. Spyware / Adware
61. Insuficiencia de infraestructura de
seguridad
62. Software Deficiente
63. Negligencia del usuario
64. Spam
65. Hardware Deficiente
66. Interrupcin del negocio de
proveedores
67. Cambios significativos en el entorno
econmico

52

52

Ejemplo 1 - Anlisis
Posibilidad de Ocurrencia
Casi cierto
Muy posible
Posible
Raro
Casi imposible

Valor
5
4
3
2
1

Impacto
Catastrfico
Mayor
Medio
Menor
Insignificante

Pag.53

www.isaca.org

Valor
5
4
3
2
1

53

53

Mayor

Catastrfico

Medio

Menor
2

Insignificante

Casi cierto
5

Muy posible
4

IMPACTO

Posible
3

Pag.54

www.isaca.org

Raro

Evento de amenaza (riesgo)

Uso no autorizado de equipos
Falla en equipos de telecomunicacin
Fallas de energa elctrica
Saturacin de sistemas de informacin
Infeccin por virus informtico

Riesgo N

ID
1
2
3
4
5

1 Casi imposible

POSIBILIDAD

Ejemplo 1 - Anlisis

54

54

Ejemplo 1 - Evaluacin
ID RIESGO

R (P x I)

Uso no autorizado de equipos

Falla en equipos de telecomunicacin

16

Fallas de energa elctrica

12

Saturacin de Sistemas de Informacin

Infeccin por virus informtico

12

Riesgo N

Pag.55

www.isaca.org

55

55

Ejemplo 1 - Evaluacin
ID RIESGO

R (P x I)

Prioridad

Uso no autorizado de equipos

Falla en equipos de telecomunicacin

16

Fallas de energa elctrica

12

Saturacin de Sistemas de Informacin

Infeccin por virus informtico

12

N Riesgo N

Pag.56

www.isaca.org

56

56

Control de operaciones
5

Medio

1
2

5
3

Menor

4
1

Insignificante

IMPACTO

Mayor

Catastrfico

EMPRESA ABC

N
Casi Imposible

Raro

Posible

Pag.57

www.isaca.org

POSIBILIDAD

Muy Posible

Casi Cierto

57

57

Ejemplo 2 - Identificacin
RIESGO
Impactos

Eventos
Activo
Amenazas
Vulnerabilidades

Pag.58

www.isaca.org

58

58

Ejemplo 2 - Identificacin

ACTIVO

Pag.59

www.isaca.org

59

59

Ejemplo 2 - Identificacin

VULNERABILIDADES

Pag.60

www.isaca.org

60

60

Ejemplo 2 - Identificacin

AMENAZAS

AGENTE

Pag.61

www.isaca.org

61

61

Ejemplo 2 - Identificacin

AMENAZAS

EVENTO

Pag.62

www.isaca.org

62

62

Ejemplo 2 - Identificacin

IMPACTO

Pag.63

www.isaca.org

63

63

Ejemplo 2 - Identificacin
Ejemplos de activos:



Sistemas
Aplicaciones
Personas
Mobiliario

Equipos de cmputo
Instalaciones
Documentos
Registros
Manuales
Directorios

Servicios

Otros

Telfono
Fax
Pag.64

www.isaca.org

64

64

Ejemplo 2 - Identificacin
Gente / Entidades

Tecnologa de Informacin

Procesos

Sistemas / Aplicaciones

Informacin / Datos / Documentos

Plataformas / S.O.
Red / Comunicaciones

Fsica / Instalaciones

Pag.65

www.isaca.org

65

65

Ejemplo 2 - Identificacin
Identificar vulnerabilidades
Inherentes al activo.
Relacionadas con la falta, insuficiencia,
inefectividad o fallas de los controles sobre el
activo.

Pag.66

www.isaca.org

66

66

Ejemplo 2 - Identificacin
V=Se encuentra en un rea
que se puede inundar.
V=Inflamable.

A=Facturas

V=No se encuentran concentradas

en un mismo lugar.
V=Almacenamiento desprotegido.
V=Consumible.
V=Puede sufrir daos fsicos.

Pag.67

www.isaca.org

67

67

Ejemplo 2 - Identificacin
Identificar amenazas:
Naturales.
No intencionales.
Intencionales fsicas.
Intencionales no fsicas.

Pag.68

www.isaca.org

68

68

Ejemplo 2 - Identificacin
Ejemplos de amenazas:
Naturales: Terremotos, lluvia, inundaciones, incendios, ciclones,
tsunamis, deslaves, nevadas, temperaturas extremas, polvo, erupcin
volcnica, granizo, tornado, lluvia acida, plagas, etc.
No intencionales: Incendios, fugas, derrames, explosiones, apagones,
falla de equipos, ruido, etc.
Intencionales fsicas: Explosiones, incendios, robo, manifestaciones,
plantones, terrorismo, etc.
Intencionales no fsicas: Infeccin por virus, SPAM, hackeo, robo de
informacin, espionaje industrial, ingeniera social, fraude, etc.
Pag.69

www.isaca.org

69

69

Ejemplo 2 - Identificacin
El CENAPRED* (Mxico) clasifica las amenazas naturales en las
siguientes categoras:

Derrame
Fuga
Explosin
Fuego / Incendio

Sanitarias

Contaminacin
Desertificacin
Epidemias

Otras

Partculas de polvo

* CENAPRED = Centro Nacional de Prevencin de Desastres.

www.cenapred.gob.mx

www.isaca.org

Hidrometeorolgicas

Terremoto / sismo / temblor

Maremoto / tsunami
Volcn
Deslave

Qumicas

Geolgicas

Pag.70

Precipitacin pluvial
Tormenta de granizo
Tormenta de nieve
Heladas
Cicln tropical
Escurrimiento
Inundacin
Sequa
Erosin
Viento
Marea de tormenta
Temperatura extrema
Humedad extrema
Huracn / Tifn
Tormenta elctrica
Tormenta de arena
Tornado
Lluvia acida

70

70

Ejemplo 2 - Identificacin

Pag.71

www.isaca.org

71

71

Ejemplo 2 - Identificacin
V=Se encuentra en un rea
que se puede inundar.

V=Inflamable.

E=Inundacin

A=Fuego

E=Incendio

V=No se encuentran concentradas

en un mismo lugar.

A=Facturas
V=Almacenamiento desprotegido.

V=Consumible.

E=Uso

V=Puede sufrir daos fsicos.

Pag.72

www.isaca.org

A=Agua

E=Prdida

E=Robo

A=Empleado

A=Empleado
A=Visitantes

A=Personal

E=Dao

A=Personal
A=Impresora

72

72

Ejemplo 2 - Anlisis
Valor de activo
Vulnerabilidad
Severidad
Exposicin
Amenaza (Agente y Evento)
Motivacin
Capacidad
Impacto
Posibilidad de Ocurrencia

Pag.73

www.isaca.org

73

73

Ejemplo 2 Anlisis (Vulnerabilidades)

Valor

Severidad

Exposicin

Severidad Menor: Se requiere una cantidad

significativa de recursos para explotar la
vulnerabilidad y tiene poco potencial de prdida o
dao en el activo.

Exposicin Menor: Los efectos de la vulnerabilidad

son mnimos. No incrementa la probabilidad de que
vulnerabilidades adicionales sean explotadas.

Severidad Moderada: Se requiere una cantidad

significativa de recursos para explotar la
vulnerabilidad y tiene un potencial significativo de
prdida o dao en el activo; o se requieren pocos
recursos para explotar la vulnerabilidad y tiene un
potencial moderado de prdida o dao en el activo.

Exposicin Moderada: La vulnerabilidad puede

afectar a ms de un elemento o componente del
sistema. La explotacin de la vulnerabilidad aumenta
la probabilidad de explotar vulnerabilidades
adicionales.

Severidad Alta: Se requieren pocos recursos para

explotar la vulnerabilidad y tiene un potencial
significativo de prdida o dao en el activo.

Exposicin Alta: La vulnerabilidad afecta a la

mayora de los componentes del sistema. La
explotacin de la vulnerabilidad aumenta
significativamente la probabilidad de explotar
vulnerabilidades adicionales.

Severidad

Exposicin

5
Pag.74

www.isaca.org

74

74

Ejemplo 2 Anlisis (Amenazas)

Valor

Capacidad

Motivacin

Poca o nula capacidad de realizar el

ataque.

Poca o nula motivacin. No se est

inclinado a actuar.

Capacidad moderada. Se tiene el

conocimiento y habilidades para realizar el
ataque, pero pocos recursos. O, tiene
suficientes recursos, pero conocimiento y
habilidades limitadas

Nivel moderado de motivacin. Se actuar

si se le pide o provoca.

Altamente capaz. Se tienen los

conocimientos, habilidades y recursos
necesarios para realizar un ataque

Altamente motivado. Casi seguro que

intentar el ataque.

Capacidad

Motivacin

5
Pag.75

www.isaca.org

75

75

Ejemplo 2 Anlisis (Impacto)

Valor

Descripcin

La brecha puede resultar en poca o nula prdida o dao.

La brecha puede resultar en una prdida o dao menor.

La brecha puede resultar en una prdida o dao serio, y los procesos del
negocio pueden verse afectados negativamente.

La brecha puede resultar en una prdida o dao serio, y los procesos del
negocio pueden fallar o interrumpirse.

La brecha puede resultar en altas prdidas.

Rango (suma de valores por

prdida de confidencialidad,
integridad y disponibilidad)

Valor Impacto

3-5

Bajo (1)

6-10

Medio (2)

11-15

Alto (3)

Integridad

Disponibilidad

Pag.76

www.isaca.org

Confidencialidad

76

76

Ejemplo 2 - Anlisis

Proceso
Proceso 01
Proceso 28
Facturacin

Activo
SISTEMA X
RED
FACTURAS

Confidencialidad
5
4
4

Pag.77

www.isaca.org

Sensibilidad de los activos

Integridad
Disponibilidad
3
3
3
4
5
4

Total1 Valor1
11
Alto
11
Alto
13
Alto

77

Valor2
3
3
3

77

Ejemplo 2 - Anlisis

Proceso
Proceso 01
Proceso 28
Facturacin

Activo
SISTEMA X
RED
FACTURAS

Anlisis de vulnerabilidades
Vulnerabilidades
Severidad
V1-EXPOSICIN A VIRUS Y CDIGO MALICIOSO
3
V57-SUSCEPTIBILIDAD A FALLAS
2
V10 - ALMACENAMIENTO DESPROTEGIDO
2

Pag.78

www.isaca.org

Exposicin
3
3
3

78

Valor3
5
4
4

78

Ejemplo 2 - Anlisis

Proceso
Proceso 01
Proceso 28
Facturacin

Activo
SISTEMA X
RED
FACTURAS

Agentes de amenaza
A1-VIRUS INFORMTICO
A53-DISPERSORES DE AGUA
A3-VISITANTES

Anlisis de amenazas
Eventos de amenaza
E1-INFECCIN POR VIRUS INFORMTICO
E34-FALLA EN COMPONENTE DE TECNOLOGA
E14 - ROBO

Pag.79

www.isaca.org

Capacidad
3
2
3

Motivacin
3
1
2

79

Valor4
5
2
4

79

Ejemplo 2 - Anlisis

Proceso
Proceso 01
Proceso 28
Facturacin

Activo
SISTEMA X
RED
FACTURAS

Posibilidad
3
1
3

Pag.80

www.isaca.org

80

80

Ejemplo 2 - Evaluacin

Riesgo = Amenaza x Vulnerabilidad x Probabilidad

Posibilidad x Impacto
Posibilidad
Amenaza
Vulnerabilidad Probabilidad
Impacto
Riesgo Total
5
5
3
11
825
2
4
1
11
88
4
4
3
13
624

Pag.81

www.isaca.org

81

81

Ejemplo 2 - Evaluacin

UMBRALES DE
RIESGO

LIMITE INFERIOR

LMITE SUPERIOR

ALTO

751

1125

MEDIO

376

750

BAJO

375

Pag.82

www.isaca.org

82

82

Opciones de tratamiento
Fuente

Opciones de tratamiento de riesgos de TI

Transferir

Risk IT

Evitar

Mitigar

Aceptar

---

Compartir
ISO 27005

Evitar

Transferir

Reducir

Retener

---

BS 31100

Evitar

Transferir

Modificar

Retener

Buscar

Compartir

Cambiar la
naturaleza y
magnitud de
posibilidad

Retener por
decisin

Buscar una
oportunidad

Evitar
ISO 31000

Remover la
fuente del
riesgo

Cambiar las
consecuencias

Pag.83

www.isaca.org

83

83

Preguntas?

2008 Santiago Chile

Pag.84

www.isaca.org

84

84

Gracias
Mario Urea Cuate
CISA, CISM, CGEIT, CISSP
Auditor Lder BS25999, ISO27001

mario.urena@secureit.com.mx
www.mariourenacuate.com
Pag.85

www.isaca.org

85

85

Bogot, Colombia
Marzo, 2010
Te esperamos!
www.isaca.org

86

86

International Conference 2010

Cancn,
Mxico
6 al 9 de Junio de 2010

Te esperamos!
www.isaca.org

87

87